Microsoft doit encore une fois se défendre d'étaler au grand public la vie privée de ses utilisateurs par la voie de ses populaires logiciels Word, Excel et PowerPoint. En revanche, il faut admettre qu'il y a vraiment peu de choses que Microsoft aurait pu faire pour éviter ce problème.
Principalement, la faille permet à l'auteur d'un fichier Word, Excel ou PowerPoint d'en retracer la distribution par la suite.
C'est une fonction introduite dans la version 97 de la suite bureautique Office qui permet cette indiscrétion. Depuis ce temps, il n'est plus nécessaire d'attacher un fichier image à un document Office, ce qui avait pour principal inconvénient d'alourdir considérablement ce dernier. À condition d'être assuré que le destinataire du document dispose d'une connexion à Internet, il est maintenant possible de remplacer l'image par une adresse pointant vers cette image. Dès l'ouverture du document, Word va chercher l'image en ligne et l'affiche.
Comme l'image peut être d'une taille aussi minuscule qu'un pixel par un pixel, elle est à toutes fins pratiques invisible.
Le principe qu'a mis au jour la Privacy Foundation est tout simple. Comme la requête de l'image par Word génère des entrées dans le fichier journal (log) du serveur duquel l'image est tirée, il suffit d'étudier ce fichier journal pour savoir le nombre de fois où l'image a été demandée et, par conséquent, le document Word ouvert.
Plusieurs autres informations, telles que le nom de domaine et/ou l'adresse IP, peuvent également être transmises de cette façon. Dans le cas d'un document que l'on voudrait confidentiel, il est également possible d'insérer une adresse différente pour chaque destinataire. De cette façon, il est possible d'identifier la personne ayant ouvert le document ou, dans le cas d'une fuite, d'en connaître la provenance.
Le problème est loin d'être exclusif aux logiciels de Microsoft. En réalité, n'importe quel document pouvant contenir des images provenant d'Internet est susceptible de fournir le même type d'informations à son auteur. C'est le cas entre autres des courriels au format HTML. En revanche, les logiciels de Microsoft posent un problème supplémentaires puisqu'ils ont accès aux cookies d'Internet Explorer.
Cette particularité ouvre le champ de possibilités du créateur du fichier puisqu'il est en mesure à la fois de lire et d'écrire des informations dans ces fichiers cookies. Richard Smith, le même expert qui avait permis entre autres l'identification du créateur du virus Melissa et qui avait découvert les indiscrétions des logiciels de la compagnie Real Networks, oeuvrant maintenant pour la Privacy Foundation, n'a d'ailleurs de critiques que pour ce dernier fait. Conscient qu'il est presque impossible d'empêcher l'utilisation des images «truquées», il réclame en revanche de Microsoft la désactivation des fichiers cookies quand Internet Explorer est utilisé à l'intérieur d'une autre application.
Jean-François Codère
L'exposé de la Privacy Foundation
